5 février 2009Journée Technique1 Journée Technique Régionale Décret de Confidentialité Jeudi 05 Février 2009
5 février 2009Journée Technique2 Décret n° du 15 mai 2007 R CSP Gérer la liste nominative des professionnels habilités Mettre en œuvre l'identification et la vérification de la qualité des personnes Informer les personnes concernées par les informations médicales des dispositions prises Le décret confidentialité et les référentiels confidentialité
5 février 2009Journée Technique3 Décret n° du 15 mai 2007 R CSP « En cas daccès par des professionnels de santé aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, lutilisation de la carte de professionnel de santé mentionnée au dernier alinéa de larticle L du code de la sécurité sociale est obligatoire » Le décret confidentialité et les référentiels confidentialité
5 février 2009Journée Technique4 Décret n° du 15 mai 2007 R CSP « La conservation sur support informatique des informations médicales … par tout professionnel, tout établissement et tout réseau de santé ou tout autre organisme intervenant dans le système de santé est soumise au respect de référentiels définis par arrêtés du ministre chargé de la santé » « Les référentiels déterminent les fonctions de sécurité nécessaires à la conservation ou à la transmission des informations médicales en cause et fixent le niveau de sécurité requis pour ces fonctions. » Le décret confidentialité et les référentiels confidentialité
5 février 2009Journée Technique5 Les nouvelles fonctions du SI Un annuaire des identités et des habilitations Une solution de gestion de lannuaire : administration et « workflow » Un système de synchronisation des identités et des habilitations Une (ou plusieurs) solution de sécurisation de laccès au applications par la carte CPS (dépendant du contexte applicatif) Un système de traçabilité des accès Un système de gestion des cycles de vie des cartes CPS
5 février 2009Journée Technique6 Lannuaire Se compose de 3 référentiels : Personnes (identité, activité) imposé par le décret confidentialité Structure (juridique, géographique) utile à létablissement Ressources médico-techniques nécessaire au ROR 2 implémentations possibles : hiérarchique (LDAP, ADAM) ou relationnel (base de données) Etude AES du GMSIH (2003) a défini un modèle commun Implémentation LDAP réalisée et utilisée par plusieurs établissements Implémentation relationnelle en cours de mise en place dans dautres établissements
5 février 2009Journée Technique7 La gestion des habilitations Objectif : attribuer des droits sur les applications en fonction : Lidentité de lutilisateur : le métier Le ou les rôles affectés à lutilisateur au sein de létablissement : lactivité et la fonction localisée Le contexte daccès (ex: plages horaires, urgences, gardes, etc.) Les habilitations sont initiées dès le recrutement (fiche de poste) : implication des directions « métier » (RH, affaires médicales et DIM) La gestion centralisée concerne laccès à lapplication : profil interne sous le contrôle du responsable de lapplication
5 février 2009Journée Technique8 Administration et workflow Objectif : gérer le cycle du professionnel dans létablissement Administration du dossier du professionnel, de son activité, de ses habilitations, etc. Certains éléments dadministration pourraient être décentralisés : Au niveau de lagent : complément informations Au niveau dun service : fourniture accès, changement activité, oubli carte CPS Workflow : matérialise le processus de gestion de létablissement Circuits de validation Initialisation dactions manuelles (ex: alerte pour création profil interne)
5 février 2009Journée Technique9 La synchronisation Solution de synchronisation automatique des informations didentité, de structure ou des habilitations (ex: EAI) Provisionning amont : récupération des informations pour alimenter lannuaire : souvent applications de gestion des ressources humaines et de la structure Provisionning aval : diffusion des informations de lannuaire vers les applications : Professionnels Structure Comptes applicatifs
5 février 2009Journée Technique10 La sécurisation des accès Objectif : Utiliser la carte CPS pour sauthentifier sur le domaine et/ou les applications Mettre en place les fonctions de Single Sign On pour simplifier les opérations des utilisateurs Plusieurs solutions en fonction du mode de diffusion des applications dans létablissement : Web Terminal Server Citrix …
5 février 2009Journée Technique11 Létude des cartographies Etude actuelle des cartographies pour déterminer les architectures et solutions à prévoir dans les spécifications : Les processus : modèle annuaire, administration et workflow Les fiches applications : SSO, synchronisation, lecteurs de cartes Les flux : synchronisation Les équipements techniques : synchronisation, sécurité (PSSI) Des points de vigilance déjà identifiés : Plusieurs types de diffusion dans un même SI : web, citrix, TSE + bureautique Types de solutions clientes particuliers (ex : client léger en windows CE) Risque de perte dinformation essentielles si fiches incomplètes Disponibilité et qualité du service pour lutilisateur En plus de ceux déjà identifiés : délégation, règle dabsence, accès télémaintenance, …
5 février 2009Journée Technique12 Létude des solutions industrielles En parallèle des travaux sur la définition des solutions, nous étudions les solutions des industriels pour valider la concordance avec les besoins identifiés : échanges avec les éditeurs des solutions dannuaire et de SSO : Ilex, Avensis, Bull Evidian, Novell, etc. échanges avec les intégrateurs positionnés sur le secteur : IBM, Orange, etc. échanges avec les fournisseurs de lecteurs et cartes : Gemalto, etc. Etc. étude des retours dexpériences des établissements expérimentateurs du programme national
5 février 2009Journée Technique13 Point de situation sur lexpérimentation nationale Rappel des étapes : Expérimentation nationale avec 24 établissements de tous types Pré-généralisation sur environ 200 établissements coordonnés au niveau régional Généralisation sur lensemble des établissements Le CHU fait partie des établissements expérimentateurs et ReimpHos participe aussi aux groupes de travail (1-2 jours / mois) La région fera partie de la pré-généralisation (lancement 1T 2009) pour le projet mutualisé et bénéficie de laccompagnement national (DHOS, GMSIH, GIP-CPS)
5 février 2009Journée Technique14 Point de situation sur lexpérimentation nationale Des livrables du GMSIH réalisés ou en cours sur les architectures, les processus, les solutions ou les usages Une évolution des offres et outils du GIP-CPS Des expériences des établissements qui préfigurent celles à venir en Limousin : des problématiques techniques rencontrées, des outils réutilisables pour les études ou la conduite du changement Une « maturation » des éditeurs et intégrateurs des solutions dannuaire et de SSO Des avancées avec des éditeurs « classiques » présents aussi en Limousin
5 février 2009Journée Technique15 Point de situation sur lexpérimentation nationale Des points de vigilances confirmés : Projet transversal, organisationnel avant tout, dans lequel doivent simpliquer les différents acteurs : services informatiques, ressources humaines, direction Importance de la communication et de la conduite du changement dans létablissement durant tout le projet Un travail nécessaire avec les industriels « classiques » pour la prise en compte du décret : accompagnement en cours du groupe national auprès des fédérations dindustriels pour la prise en compte du décret La question soulevée de lutilisation de la carte CPS ou dune carte de létablissement embarquant les certificats CPS